Top
首页 > 网络和信息安全 > 高端访谈 > 正文

RSA分享:塔防体系层层狙击恶意入侵

本届RSA大会的主题强调了变化,而信息安全技术变化的本质则在于适应信息技术的发展
发布时间:2015-05-22 15:25        来源:赛迪网        作者:

安天RSA参展小分队的小伙伴们在从美国RSA大会现场回来后接受了笔者的采访。“本次大会的主题和基调都给我留下了很深的印象”,会议的组织机构和组织者虽然带着比较深厚的美国产业背景,拥有全球最强大的信息安全产业体系,但依然有如此大的危机感,“这让我们感到非常的震撼”。今年的大会上表现出了很多新趋势,比如威胁情报共享、把更多安全手段逐渐置于云端、向云的发展方向靠拢等等,而小的创新厂商选择的一些技术单点,比如工控安全等也给人们留下了深刻印象。

适应信息技术发展的安全之变

本届RSA大会的主题强调了变化,而信息安全技术变化的本质则在于适应信息技术的发展。纵观信息安全技术的发展历史,既有稳定性、渐进的发展,也有突破和超越的创新;既有继承性的因素,也有颠覆性的因素。比如主流加密算法,其演进的就相对缓慢,一种算法在被主要的产业主流确定下来后,可以通过一些简单的方式来自我强化(比如增加密钥长度、修补有问题的参数和代码实现等),但其算法强度随着计算能力和算法分析技术的发展,在一定的时间过程内,会让老的主流算法开始力不从心,包括暴露出更多的设计缺陷等等,从而被其他算法取代,类似算法领域的攻防是更为长期的,更为依赖学术界的,这也是算法成果的特点决定的。

而产品形态的迭代则显得更加快捷,比如这些年从传统软件防火墙、高速硬件防火墙、UTM,再到如今补充了沙箱联动、针对APT和0day检测解决方案的下一代防火墙,这就是一个更为迅速的演进过程,这些产品形态和发力点的变化一定程度上是在信息化全面铺开,应用全面繁荣的大背景下,因威胁快速并全面演进而不断产生的产品形态、技术形态和应对方法的新发力点和迭代。

但在不同领域的复盘中,我们都可以看到信息安全是以“应变”为核心特点,在不同领域的变与不变无非是当时所发生的是量变的积累还是质变的飞跃。

在过去的发展中,信息安全在基本检测方法、基本工作思路上已经做了大量奠基性工作。类似于安全网关、恶意代码检测等一些基础技术方面已经逐渐发展到了他的高阶能力,并已成为重要的基础环节。虽然这些基础环节不足以单独应对新威胁,但如果没有这些基础环节而仅依托单点新技术也无法有效应对各类恶意挑战。

安全的发展就是既要有效发挥这些基础环节的能力,同时要结合新的技术手段和方法,在整个威胁情报的驱动之下,依托大数据分析体系形成新的纵深防御的解决方案。从今年会议的主题来看,这种变化更多的不是很多具体的单点技术的变化,而是面对大的威胁,特别是国家和政经集团为背景的威胁下,在厂商自身和单点技术都无力应对威胁的情况下,产生的一种新的合纵连横的趋势和联合使用的方法。

滞后的安全需奋起直追

从今年RSA大会主席所发表的观点来看,对信息安全总体形势做出了极度不乐观的评价。这种忧患的态度是信息安全工作者在面对当前整体威胁形势下应具备的警觉感和危机感。但如何客观的评价整个全球网络安全整体状况是在改善还是在下降,这是一个很难用一个简单标准来对比的问题。对于一个复杂的系统,信息安全本身不存在一个孤立的可度量的、可评价的状态。整个社会的信息安全状况与其信息化程度是相互关联的,信息安全的新发展与新挑战,同整个信息技术在各个领域的延展、繁荣、发展密不可分。在这个发展过程中,安全与应用是一个双向的水涨船高的过程,一方面,确实由于信息化的发展使整体威胁的暴露面增大,而信息化的发展过程中,也需要它的高速度,很难在开始就把安全设计的特别完善,因此必然会在基数的增长和新领域的扩展中给攻击者带来新的机会。

同时可以看到,在这样一个快速拉动的发展形态中,也为安全厂商提供了更多的防御场景和发展机遇,新技术和思想与网络安全领域的融合,为新安全技术的形成提供了发展的基点。这种应用的蓬勃发展是一个必然的过程,是适应社会发展、满足用户日益增长需求的结果,可这种发展有时也很难要求应用领域在开始就具有安全基因。当人们期望高速发展能够伴生安全保障,特别是这种前进作为刚性需求是不可阻挡的时候,信息安全工作者不应、也很难对这种应用的狂奔有更多的谴责或者是不安,而更多的是应该看到自身的产品、技术发展速度可能不够快,与新威胁没有做到针锋相对,没有跟上应用的发展速度,这正是安全工作者需要奋起直追的时候,而不要高喊让应用必须停下,来等待安全团队来保障。在这个角度上,虽然当前的安全情况并不乐观和满意,但无疑有更多用户享受到信息技术发展所带来的生活和工作品质的变化,安全工作者应该更好的在更大的威胁挑战面前,履行自己的职责。

此消彼长、彼消此长的攻与防

防御一定是被动的、是落后于攻击的、一定是所谓的道高一尺魔高一丈么?攻防之间谁更占优不可形而上学之。实际上,在不同场景、不同威胁对象以及不同技术演进阶段中,攻防之间会出现此消彼长、彼消此长的不同情况。以反病毒技术为例,在恶意代码刚刚出现的时候,当时还没有职业化的反病毒工作者乃至团队,也没有有效的响应体系和思路,因此那时用户风声鹤唳、反病毒人员焦头烂额。但随着反病毒引擎技术、后台自动化分析技术、主动防御技术成型之后,攻击者通过大量时间所编写出来的病毒,对于防御者而言,仅需要通过一个很小的机器进行自动化分析即可应对处理。应该说当任何一种威胁可以被高速的、采用工程化手段进行形式化处理时,在这一阶段处于优势地位的恰恰是曾经落后的防御者。

还有一种情况是,虽然攻击方有很多攻击路径,但防御者搭建了跳脱出了具体场景搏杀,而建立了更多的防御手段和层次,比如说在过去近十年间,操作系统内存安全方面有了比较长足的进步。类似于DEP、ASLR等技术应用到操作系统中,并包括通过编译器和应用软件环境的本身改造予以强化,所以目前对操作系统本身的,基于某个系统自带的固定端口实现单包打过去就会发生溢出的攻击越来越少,今天看到这种漏洞变的日趋珍贵、甚至在黑市上卖出天价的同时,也可以说这个防御点上,操作系统厂商开始占据了一定的优势。

但是,攻击和威胁是不会停止的,就像信息化本身的发展不会停止一样,攻击者在一个攻击路径下受挫,就会寻找其他攻击路径。如果直接通过操作系统的漏洞进行攻击的可能性在变少,更多的攻击就会一方面向下走寻找简单的配置低级错误,向上走寻找在类似WEB等应用程序和系统里由于大量没有受过训练的程序员所编写代码中的bug,从而实现针对系统的突破。

在整个攻防演进过程中,还有一个重要的是成本性因素,以反病毒领域为例,工程化方法的成熟,助动了反病毒企业在上世纪80年代后期到90年代前期的逐渐崛起,使反病毒工作成为以体系对决(病毒作者)个体的博弈过程。但基本从2004年后,由于地下黑产的迅速拉动,使攻方也呈现出了有强烈经济动力,形成了分工细化的能力,代码的变造、攻击页面结合、引入投放端变换(Poly by Server Side)对抗云等方式的引入,都是原有反病毒与病毒的对抗,从原有的团体和个体的对抗变成团体和团队之间的对抗,体系和体系的对抗,最后实际成为成本能力的对抗。而从2006年开始,APT概念的兴起,映衬出大国之间的相互博弈,在这种博弈中,双方均有无节制、承担攻击成本的能力和必须打穿目标的坚定攻击意志,在这种情况下,攻防的主动性由双方愿意承担的成本来决定,这不简单的是一个技术的对决,很大程度上又变成了成本和意志的对决。

建立起安全的塔防体系

如果从国内来看,当前确实有很多安全技术和基础的短板。但技术是动态发展的,其需要有强大的安全企业作为载体、需要刚性的市场需求拉动、需要良性的产业秩序与格局。我想国内首先应让一批支柱型的安全厂商发展起来,才有持续创新和变革的可能,才能系统的应对威胁。也许这应该是首要改善的问题。

建立新的安全防御思路要分成不同的场景来看,安全防御存在着三个不同的层次需求。最基础的是网民和公民个体的安全需求,这里即包括网民应当享受的安全产品、保障、服务,同时也有国家为公民个体提供的相应的法律保障,比如对侵害公民财产和隐私犯罪的打击,对网络攻击行为的遏制和阻塞等。

第二个是企业的层面,当前面临失窃密、敲诈等风险,这是由于我们以前对信息化进行的安全投入不足,企业机构的网络缺少面对一般性威胁的能力,更加很难应对高级威胁。这时候,一方面要增加安全投入,同时也要改善整个防御思想,避免对某些单点环节一劳永逸的解决问题的迷信,综合发挥各种技术手段的能力、引入综合分析方法、引入情报共享机制、发挥网络管理人员和用户的能动性。特别要扎实的做好一些历史上没有做好的基础工作,在网络侧大量安全网关和相应设备,需要得到合理的策略设置和维护、以及持续的观测;在终端上,改善终端的安全配置策略,保证终端节点的巩固性;同时建立整个网络内部的响应安全模型,形成威胁综合感知与可视化能力。攻击者攻陷单点可能很难避免,但如果借助上述综合机制,来使攻击者在试图横向移动、扩大战果等过程中会暴露出来就很有意义。总而言之,企业网的安全不可能一劳永逸,一定是基于一个体系来进行的。中油瑞飞的研究人员黄晟之前提出参考塔防模型来建立企业网防御机制,实际上就是通过多个环节持续的阻截和消耗攻击者的能力,同时使多个环节间有效的响应来发现更高级的攻击者,这就是政企网络安全可改善的方向。

安全需求中,最顶层的层次,就是从国家安全的角度,这方面我们没有足够的发言权。但国家的网络安全也是由个体的网络安全和一个个政企的网络安全构成的,作为核心安全产品检测的研发者和出品商,从我们的角度来看待和有效的解决前面两类问题也是对国家安全的促进和保障。

专题访谈

合作站点
stat